JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は12月4日、「JVN#46615026: アイ・オー・データ製ルーターUD-LT1およびUD-LT1/EXにおける複数の脆弱性」において、アイ・オー・データ機器(I-O DATA)のルータに複数の脆弱性が存在するとして、注意を喚起した。
これら脆弱性を悪用されると、遠隔から不正にファイアウォールの無効化やOSコマンドの実行、機器の設定を変更される可能性がある。これら脆弱性の深刻度は重要(Important)と評価されている。すでに悪用が確認されており、JPCERT/CCは緊急の対応を求めている。
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-45841 - 不適切なアクセス権限付与の脆弱性。guestアカウントでアクセスできる攻撃者に、認証情報を含む情報を窃取される可能性がある(CVSSスコア: 6.5)
- CVE-2024-47133 - OSコマンドインジェクションの脆弱性。管理者アカウントでログインできる攻撃者は、任意のOSコマンドを実行できる可能性がある(CVSSスコア: 7.2)
- CVE-2024-52564 - ドキュメント化されていない機能の脆弱性。リモートの攻撃者はファイアウォールを無効化することができる。その結果として、任意のOSコマンドの実行や設定を変更できる可能性がある(CVSSスコア: 7.5)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- UD-LT1 Ver2.2.0より前のバージョン
- UD-LT1/EX Ver2.2.0より前のバージョン
脆弱性の修正状況
脆弱性「CVE-2024-52564」に関しては、次のバージョンにて修正を完了している。
- UD-LT1 Ver2.1.9
- UD-LT1/EX Ver2.1.9
脆弱性「CVE-2024-45841」および「CVE-2024-47133」は、現在開発者が修正ファームウェアの開発を行っている。すべての脆弱性を修正したファームウェアは、12月18日にリリースを予定しており、次のバージョンになることが予告されている。
- UD-LT1 Ver2.2.0
- UD-LT1/EX Ver2.2.0
回避策
修正ファームウェアがリリースされるまでの間、当該機器の管理者には攻撃を回避するため、次の対策を実施することが推奨されている。
- インターネットから設定画面にアクセスする必要がない場合は、接続方式に合わせてリモート管理設定を無効にする
- インターネットから設定画面にアクセスする必要がある場合は、VPN機能を有効化し、インターネットからのアクセスをVPN接続先ネットワークに限定する
- guestユーザーおよび管理者ユーザーのパスワードに、一意で強力なパスワードを設定する。ただし、当該機器はパスワードに記号を使用すると、ログインできなくなる可能性がある
発見された脆弱性はすでに悪用されたことが確認されている。そのため、インターネットから設定画面にアクセス可能だった場合は、すでに侵害されている可能性がある。
侵害された可能性のあるユーザーは、設定に不審な変更点がないか速やかに確認することが望まれている。覚えのない変更が確認された場合は、当該機器を工場出荷時の設定に戻し、上記の対策を加味した再設定をすることが推奨されている。